Hallo Guido,
* Guido Hennecke <[EMAIL PROTECTED]> [25-07-01 18:52]:
> > > > Also ich finde die Anordnung der Chains FORWARD, INPUT und OUTPUT
> > > > bei iptables wesentlich logischer als bei ipchains.
> > > In wie fern?
> > Packete die weitergeleitet werden gehen nur durch FORWARD. INPUT und OUTPUT
> > sind f�r nur f�r Pakete lokaler Prozesse.
>
> Darum filtert man bei ipchains in der Input und Output Chain eben auch
> nur diesen Traffic und leitet alles Andere in die Forward Chain.
>
> Sprich, Du hast Regeln ueber Dinge, die nicht passieren duerfen in der
> Input und Output Chain und laesst den Rest durch. Du musst dich dann
> auch nicht mit deinen Regeln darum kuemmern in Input und Output Dinge zu
> filtern, die dann auch noch die Forward Chain durchlaufen, sondern
> filterst nur dort.
Das heisst es geht hier ausschlieslich um eine Policy von ACCEPT?
Ansonsten ergibt das obige IMO keinen Sinn.
> Bei Iptables hast Du dann eben das Problem, dass Pakete, die Du nicht
^^^^^^^^^^^^^^^^^^^^
> willst, "viel weiter ins System kommen" als bei ipchains, weil Du dort
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> schon in der Input Chain filtern kannst.
Nicht wenn Du, wie oben beschrieben, alle Pakete, von nicht lokalen
Prozessen, an die FORWARD Chain weiterleitest. ;-)
> > Mit limit kann man beschr�nken wie oft eine Regel zutreffen darf.
> > Zum Beispiel wenn man nur ein SYN-Packet pro Sekunde zulassen will.
>
> Der einzige Fall der mir spontan in den Sinn kommt, wo das wirklich Sinn
> macht, ist bei ICMP und das kann man uebers proc Filesystem einstellen.
ICMP kennt kein SYN Bit.
> Ansonsten kennst auch der 2.2�er Kernel Syn Floods.
Du meinst er kann sie verhindern?
> > Ich kann bei iptables mit -i das Inputinterface und mit -o das
> > Outputinterface angeben. Bei ipchains h�ngt das Interface (-i) davon ab
> > in welcher Chain ich mich befinde. Kann also die Abfrage von Input- und
> > Outputinterface in einer Chain (nur FORWARD) machen, was die
> > �bersichtlichkeit sicher erh�ht.
>
> Da Du normalerweise in der Forward Chain auch angibst, wer Quelle und
> Ziel ist, eruebrigt sich das, wenn Du wie oben beschrieben in der Input
> und Output Chain entsprechend filterst.
ACK! Uebersichtlicher und Feherlunanfaelliger ist es aber auf jeden
Fall.
Janto
--
hab ja nicht gesagt das es f�r mich nicht in frage kommt, aber es ist
mir einfach zu m�hsam im textmodus emails zu schreiben und zu lesen
weil ich hab auf meinem linux mit absicht nur textmodus, mehr brauch
ich nicht. - Michael in d.o.c
PGP signature
